作者：薯條三兄弟

來(lái)源：大隊長(cháng)金融（ID:captain_financial)

防范數據風(fēng)險的難點(diǎn)在于，數據處理的每個(gè)節點(diǎn)：收集、存儲、使用、加工、傳輸、提供、公開(kāi)、刪除都可能成為數據安全的雷點(diǎn)。

監管部門(mén)顯然也意識到了這一點(diǎn)。

2021年，《個(gè)人信息保護法》和《數據安全法》相繼實(shí)施，與《網(wǎng)絡(luò )安全法》共同構建了個(gè)人信息保護、數據與網(wǎng)絡(luò )安全的監管框架；在此基礎上，各類(lèi)配套法規、國家標準、技術(shù)指南不斷提升監管的精細度。

對于通過(guò)互聯(lián)網(wǎng)平臺(如APP、小程序、軟件開(kāi)發(fā)應用包(SDK))或者智能硬件設備等方式收集及處理個(gè)人信息的企業(yè)而言，數據泄露的風(fēng)險顯著(zhù)高于其他行業(yè)。從工信部2021年通報的1680款APP及網(wǎng)信辦2021年通報的695款APP案例來(lái)看，網(wǎng)絡(luò )安全的監管部門(mén)最為關(guān)注的也是這類(lèi)企業(yè)。其中需要重點(diǎn)關(guān)注的包括互聯(lián)網(wǎng)消費平臺、金融科技平臺、先進(jìn)制造業(yè)企業(yè)。

在涉及這類(lèi)企業(yè)的投資并購中，我們需要對個(gè)人信息流轉的全鏈路予以重點(diǎn)關(guān)注。

實(shí)踐中容易忽視的一個(gè)技術(shù)細節是“數據處理者”的識別。出于ICP經(jīng)營(yíng)資質(zhì)和分散風(fēng)險的考慮，互聯(lián)網(wǎng)平臺的運營(yíng)及平臺上的產(chǎn)品提供，往往由集團內的多個(gè)法人主體分工完成。另一種常見(jiàn)的情形，出于數據融合的考慮，集團內多個(gè)法人主體收集個(gè)人信息后，再委托同一個(gè)主體(往往是體系內科技公司)進(jìn)行深度處理。界定“共同處理”、“委托處理”的數據鏈路，識別主要的“數據處理者”是厘清數據盡調對象，提升項目效率的關(guān)鍵步驟。

另外，國家標準化管理委員會(huì )制定的“國家標準”及行業(yè)主管部門(mén)制定的“技術(shù)規范”也會(huì )成為重要的法律依據。例如《個(gè)人金融信息保護技術(shù)規范》對于“個(gè)人身份信息”和“金融交易信息”進(jìn)行了界定，兩者在“數據共享和委托處理”中會(huì )適用不同的合規要求，在盡調中對個(gè)人信息的內容和對應的個(gè)人信息處理場(chǎng)景就需要仔細甄別；再比如國標文件《信息安全技術(shù)汽車(chē)采集數據的安全要求》正在征求意見(jiàn)的階段，對于智能汽車(chē)采集的數據，細分為車(chē)外數據及座艙數據。當車(chē)外數據包含了外部環(huán)境的人臉、車(chē)牌等個(gè)人信息時(shí)，這類(lèi)數據的處理也會(huì )受到更嚴格的要求。

最后，綜合《網(wǎng)絡(luò )安全審查辦法》、《互聯(lián)網(wǎng)平臺分類(lèi)分級指南(征求意見(jiàn)稿)》、《互聯(lián)網(wǎng)平臺落實(shí)主體責任指南(征求意見(jiàn)稿)》的規定，對于年度活躍用戶(hù)不低于5000萬(wàn)的目標企業(yè)(大型互聯(lián)網(wǎng)平臺)或者處理掌握超過(guò)100萬(wàn)用戶(hù)個(gè)人信息的目標企業(yè)，適用的數據合規義務(wù)也會(huì )顯著(zhù)提高，相應地也需要提高數據盡調的顆粒度。

從事數據挖掘、分析處理并輸出數據服務(wù)的企業(yè)

市場(chǎng)中的另一類(lèi)玩家，并不直接收集用戶(hù)的個(gè)人信息，也不面向個(gè)人用戶(hù)提供產(chǎn)品，這類(lèi)企業(yè)通常面向機構用戶(hù)提供軟件服務(wù)、云平臺服務(wù)、數據咨詢(xún)等基于數據的行業(yè)解決方案。其中需要重點(diǎn)關(guān)注的包括生命醫療行業(yè)(比如新藥研發(fā)，CXO，互聯(lián)網(wǎng)醫療，醫療人工智能等等)和大數據(人工智能)行業(yè)。

回溯數據鏈路的上游，我們會(huì )發(fā)現這類(lèi)企業(yè)一方面可能通過(guò)爬蟲(chóng)等技術(shù)獲取其他機構的公開(kāi)數據，另一方面可能與其他機構建立合作獲取數據，再基于自身的大數據分析和算法模型，形成特定行業(yè)的解決方案。

在涉及這類(lèi)企業(yè)的投資并購中，我們需要對數據鏈路的上游予以特別關(guān)注。

最后，隨著(zhù)《關(guān)于加強互聯(lián)網(wǎng)信息服務(wù)算法綜合治理的指導意見(jiàn)》及相關(guān)規定的頒布，算法的安全治理、分類(lèi)分級和備案制度也會(huì )逐步確立，算法自身的合規性也會(huì )成為數據盡調中的新的關(guān)注事項。

涉及關(guān)鍵信息基礎設施的企業(yè)

根據2021年《關(guān)鍵信息基礎設施安全保護條例》的定義，關(guān)鍵信息基礎設施是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能?chē)乐匚：野踩?、國計民生、公共利益的重要網(wǎng)絡(luò )設施、信息系統等。

事實(shí)上，2016年《網(wǎng)絡(luò )安全法》第一次提出關(guān)鍵信息基礎設施的概念時(shí)，市場(chǎng)普遍缺乏直觀(guān)的認識。經(jīng)過(guò)近幾年的摸索實(shí)踐，今年已有部分金融機構向我們反饋，其接到了行業(yè)主管部門(mén)和公安部門(mén)的認定，成為了關(guān)鍵信息基礎設施的運營(yíng)者(CIIO)。由此我們預計CIIO認定工作在上述的各個(gè)重要行業(yè)和領(lǐng)域會(huì )逐步落地。

如果目標企業(yè)成為關(guān)鍵信息基礎設施的運營(yíng)者，那么對應的數據合規義務(wù)會(huì )升格成最高等級，例如CIIO在中國境內運營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數據需要在境內存儲，如果確需向境外提供的，需要按照國家網(wǎng)信等部門(mén)制定的辦法進(jìn)行安全評估。因此，境外投資者進(jìn)入中國市場(chǎng)，除了考慮外商投資產(chǎn)業(yè)準入的要求，現在還需要進(jìn)一步考慮被投企業(yè)的“數據身份”，預判數據跨境流動(dòng)是否可行。要特別注意，采用VIE結構的協(xié)議控制，也需要遵循數據跨境傳輸的合規義務(wù)。

02/ 如何進(jìn)行專(zhuān)項數據盡調?——以生命醫療行業(yè)數據合規盡調為例

• 準備盡調問(wèn)卷
• 盡調訪(fǎng)談和溝通
• 核查盡調資料
• 出具盡調報告(含合規差距分析及整改建議)
• 協(xié)助目標企業(yè)完成整改

通常情況下，完整的專(zhuān)項數據盡調問(wèn)卷會(huì )涵蓋“個(gè)人信息保護”、“數據合規”與“網(wǎng)絡(luò )安全”三個(gè)部分，如下圖所示，我們常用的主表一共31頁(yè)，約9700字，另有其他附件表格配套使用。

我們也充分考慮到不同投資項目對于盡調時(shí)間和業(yè)務(wù)偏重的關(guān)注不同，可以將該問(wèn)卷進(jìn)行模塊化拆拼和調整（類(lèi)似樂(lè )高組建的插拔），針對不同的行業(yè)適配本行業(yè)業(yè)務(wù)特點(diǎn)的盡調問(wèn)卷，實(shí)現高效率發(fā)現未來(lái)影響投資項目退出路徑的重大合規瑕疵并為后續交易文件起草和交割條件設置提供工作基礎。

與傳統法律盡調稍有不同，在專(zhuān)項數據盡調的訪(fǎng)談和溝通環(huán)節，通常需要邀請目標企業(yè)內部的法律合規、信息/網(wǎng)絡(luò )安全、產(chǎn)品、營(yíng)銷(xiāo)、科技研發(fā)、運營(yíng)等團隊共同參與。

一方面，數據合規涉及大量的互聯(lián)網(wǎng)技術(shù)細節，需要專(zhuān)業(yè)背景的團隊理解相關(guān)問(wèn)題并做出準確回復，其中法律合規團隊熟悉制度流程及協(xié)議約定，信息/網(wǎng)絡(luò )安全、科技研發(fā)團隊熟悉系統架構和數據安全管理，產(chǎn)品及營(yíng)銷(xiāo)團隊熟悉數據的流轉和使用過(guò)程，三者相互印證才能反映實(shí)際情況；另一方面，數據合規需要排查數據在所有業(yè)務(wù)場(chǎng)景下的處理情況，邀請相關(guān)的各個(gè)團隊一起參與訪(fǎng)談，才能對目標企業(yè)數據治理形成全景圖。

以醫療企業(yè)盡調為例，由于醫療企業(yè)部門(mén)眾多，且醫療數據種類(lèi)繁雜，數據盡調首先需要與企業(yè)溝通，大致了解企業(yè)處理和使用數據的主要場(chǎng)景、場(chǎng)景下涉及的數據種類(lèi)以及企業(yè)內的主要數據處理部門(mén)有哪些。比如，醫療企業(yè)的數據處理場(chǎng)景可能包括注冊臨床、科研合作、大數據應用研發(fā)、跨境數據合作等，涉及的數據種類(lèi)可能包括臨床數據、健康醫療大數據、遺傳資源數據等多種類(lèi)型。

盡調訪(fǎng)談可以重點(diǎn)關(guān)注人類(lèi)遺傳資源數據出境、臨床試驗研究活動(dòng)中知情同意書(shū)的條款完備性、醫療企業(yè)內部患者數據管控平臺完善程度、科研與營(yíng)銷(xiāo)活動(dòng)中公開(kāi)去標識化患者數據是否存在風(fēng)險、用于注冊的醫療數據是否可以回溯并按規定保存等等。

生命醫療企業(yè)內由于使用數據的部門(mén)條線(xiàn)眾多，部門(mén)間可能存在數據混用的情形。比如，醫療企業(yè)內可能存在不顧及數據主體具體授權范圍，將不同科研項目中取得的研究數據混用，后期可能造成數據超范圍使用等一系列合規問(wèn)題。另外，醫療企業(yè)不同部門(mén)間也可能出現對同一數據應用場(chǎng)景的描述不一致的情況。比如，醫療企業(yè)內可能有多個(gè)研發(fā)部門(mén)聘用了第三方臨床外包機構進(jìn)行試驗數據處理，部分外包機構性質(zhì)為CRO，部分為SMO，但由于研發(fā)部門(mén)無(wú)法區分外包機構數據處理角色的異同，造成訪(fǎng)談中描述情況不清晰或有矛盾。因此，盡調訪(fǎng)談后需及時(shí)以數據映射表的形式整理主要數據處理場(chǎng)景和每個(gè)場(chǎng)景中涉及的數據合規點(diǎn)，并通過(guò)法律合規團隊進(jìn)一步核實(shí)事實(shí)或取得書(shū)面材料。

其次，審查數據處理相關(guān)文件也是數據盡調的重要組成部分。審查生命醫療企業(yè)數據文本應至少從數據制度、數據授權和數據協(xié)議三方面衡量數據保護措施的充分性和合理性。數據制度（如健康數據管理制度、AI數據使用制度等）一般能反映醫療企業(yè)數據治理的整體框架；數據授權（如知情同意書(shū)等）是醫療企業(yè)直接采集數據的合法性基礎；數據協(xié)議（如數據處理協(xié)議等）則是醫療企業(yè)管控數據合作方或合法間接收集數據的重要機制。

特別需要注意的是，在生命醫療行業(yè)，醫藥或者醫療器械企業(yè)在大多數情況下無(wú)法與患者直接接觸并獲取個(gè)人信息授權，即使發(fā)起藥物臨床實(shí)驗研究活動(dòng)可以獲得參試者的知情同意，但是使用范圍和目的依然有限。因此，如何探索去標識化技術(shù)并在滿(mǎn)足一定效果等級的基礎上使用統計數據，既能滿(mǎn)足企業(yè)的業(yè)務(wù)需要，同時(shí)又能保護患者的隱私。目前國內企業(yè)大多借鑒美國HIPAA推薦的規則對患者18項識別信息進(jìn)行去標識化處理，但是該方法是否符合中國法律與監管規定，以及如何在此基礎上進(jìn)行優(yōu)化，以期達到《信息安全技術(shù)個(gè)人信息去標識化效果分級評估規范》規定的匿名化標準（醫療數據受限數據集）值得我們重點(diǎn)關(guān)注。

最后，盡調報告應總結數據盡調中發(fā)現的合規差距點(diǎn)，并從制度層面、授權協(xié)議文本層面和技術(shù)保護層面提出初步整改建議。改進(jìn)措施的落實(shí)也將從這三方面展開(kāi)。措施落地過(guò)程中，需要與法律合規團隊、技術(shù)研發(fā)團隊不斷溝通，在數據合規要求和企業(yè)業(yè)務(wù)需求間找到合適的平衡點(diǎn)。

03/ 如果目標企業(yè)未來(lái)有境外上市計劃，專(zhuān)項數據盡調應該前置做些什么?

2021年，境內企業(yè)在赴港上市過(guò)程中，個(gè)人信息保護、數據合規與網(wǎng)絡(luò )安全的事宜也越發(fā)受到聯(lián)交所的關(guān)注，上市企業(yè)的招股說(shuō)明書(shū)也補充了風(fēng)險披露事項。

網(wǎng)易云音樂(lè ) (9899.HK，2021年11月23日)在招股書(shū)風(fēng)險章節中，對可能涉及的個(gè)人信息保護與網(wǎng)絡(luò )數據安全相關(guān)的風(fēng)險進(jìn)行詳細披露，包括：(1)安全漏洞及攻擊，(2)個(gè)人信息保護、網(wǎng)絡(luò )與數據安全相關(guān)的立法征求意見(jiàn)稿適用可能性，(3)因違反個(gè)人信息保護與網(wǎng)絡(luò )數據安全相關(guān)合規義務(wù)而可能導致的行政處罰風(fēng)險與品牌聲譽(yù)風(fēng)險。

2021年12月24日，《國務(wù)院關(guān)于境內企業(yè)境外發(fā)行證券和上市的管理規定（草案征求意見(jiàn)稿）》公開(kāi)征求意見(jiàn)，可以預見(jiàn)，未來(lái)證監會(huì )在境外上市備案審查中將提高網(wǎng)絡(luò )安全審查的關(guān)注程度。

2022年2月15日《網(wǎng)絡(luò )安全審查辦法》(國家互聯(lián)網(wǎng)信息辦公室令第8號)正式生效，進(jìn)一步明確網(wǎng)絡(luò )安全審查的適用情形。綜合來(lái)看，不屬于CIIO，也不涉及重要數據的企業(yè)，在赴港上市中無(wú)須主動(dòng)申報網(wǎng)絡(luò )安全審查，但這并不能完全排除被動(dòng)審查的風(fēng)險。

結合網(wǎng)絡(luò )安全審查的要求，除數據盡調的工作內容外，對未來(lái)計劃境外上市的目標企業(yè)，提前進(jìn)行網(wǎng)絡(luò )安全評估，對于是否存在“影響或可能影響國家安全的情形”形成專(zhuān)項分析報告。

04/ 結語(yǔ)

長(cháng)期以來(lái)，龐大的數據既是投資標的企業(yè)的“護城河”，也是核心競爭力之一。但是近年來(lái)不斷加強的數據立法與執法監管活動(dòng)，不但抬高數據優(yōu)勢維持成本，同時(shí)也使得傳統的業(yè)務(wù)模式面臨嚴峻的合規挑戰，稍有不慎，可能埋下新的“雷點(diǎn)”。與其他領(lǐng)域法律合規有所不同的是，數據合規的難點(diǎn)從來(lái)不在于法律文件的解讀。如何能讓企業(yè)內的各部門(mén)都意識到，防守就是進(jìn)攻，合規是為了合理的挖掘數據，釋放數據所蘊含的巨大商業(yè)價(jià)值，這才是每個(gè)從業(yè)者的初心。

注：文章為作者獨立觀(guān)點(diǎn)，不代表資產(chǎn)界立場(chǎng)。

題圖來(lái)自 Pexels，基于 CC0 協(xié)議

本文由“大隊長(cháng)金融”投稿資產(chǎn)界，并經(jīng)資產(chǎn)界編輯發(fā)布。版權歸原作者所有，未經(jīng)授權，請勿轉載，謝謝！

原標題： 數據不安全，投資有風(fēng)險